MongoDB:数据库角色权限

 

 

1. 理解Admin数据库
新安装的MongoDB是没有账号设置,不用安全验证,任何人只要连接上服务就可以进行CRUD操作,这是非常不安全的。

所以我们需要对MongoDB进行设置账号,来控制对数据库的访问。

mongodb没有默认管理员账号,先添加管理员账号,再开启权限认证

切换到admin数据库,添加的账号才是管理员账号

管理员可以管理所有数据库,但要先在admin数据库认证后才可以管理其他数据库

MongoDB默认有一个admin数据库,admin.system.users中将会保存比在其它数据库中设置的用户权限更大的用户信息

当admin.system.users中一个用户都没有时,即使mongod启动时添加了- -auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作,直到在admin.system.users中添加了一个用户

 

2. 角色与权限
Mongodb的授权采用了角色授权的方法,每个角色包括一组权限

Mongodb已经定义好了的角色叫内建角色,我们也可以自定义角色

MongoDB角色有:

数据库用户角色:read、readWrite;
数据库管理角色:dbAdmin、dbOwner、userAdmin;
集群管理角色:clusterAdmin、clusterManager、clusterMonitor、hostManager;
备份恢复角色:backup、restore;
所有数据库角色:readAnyDatabase、readWriteAnyDatabase、userAdminAnyDatabase、dbAdminAnyDatabase
超级用户角色:root;
内部角色:__system;
MongoDB权限:

read: 允许用户读取指定数据库
readWrite: 允许用户读写指定数据库
dbAdmin:允许用户在指定数据库中执行管理函数,如索引创建、删除,查看统计或访问system.profile
userAdmin:允许用户向system.users集合写入,可以找指定数据库里创建、删除和管理用户
clusterAdmin:只在admin数据库中可用,具有所有分片和复制集相关函数的管理权限。
readAnyDatabase:只在admin数据库中可用,具有所有数据库的读权限
readWriteAnyDatabase:只在admin数据库中可用,具有所有数据库的读写权限
userAdminAnyDatabase:只在admin数据库中可用,具有所有数据库的userAdmin权限
dbAdminAnyDatabase:只在admin数据库中可用,具有所有数据库的dbAdmin权限。
root:只在admin数据库中可用。超级账号,超级权限

 


3. 创建角色
创建普通用户:

>use  foobar
>db.createUser(
  { user:"foobarUser",
    pwd:"foo",
    roles:[{role:"readWrite",db:”foobar”}],
  }
  )

 

创建用户管理员:

>use  admin
>db.createUser(
  { user:"Useradmin",
    pwd:"Userpwd",
    roles:["userAdminAnyDatabase"],
  }
  )

 

创建数据库管理员:

use  admin
db.createUser(
  { user:"DbUser",
    pwd:"DbPwd“,roles:["readWriteAnyDatabase", "dbAdminAnyDatabase"]
  }
  );

 

查询某个数据库下的用户:

db.system.users.find()

 

删除指定用户:

db.dropUser(“用户名”);

 

用户管理员和数据库管理员区别:

用户管理员具有在admin和其他数据库创建用户账户的功能
数据库管理员账户用来管理数据库、集群、复制和MongoDB的其他方面

posted @ 2021-03-03 00:12  liweikuan  阅读(306)  评论(0编辑  收藏  举报